1 “坏蛋”们可能做什么?
很多!
- 窃听(eavesdrop): 窃听信息
- 插入(insert):主动在连接中插入信息
- 假冒(impersonation): 可以通过伪造(spoof)分组中的源地址(或者分组的任意其他字段)
- 劫持(hijacking): 通过移除/取代发送发或者接收方“接管” (take over)连接
- 拒绝服务DoS(denial of service): 阻止服务器为其他用户提供服务(e.g., 通过过载资源)
2 映射(Mapping)
映射:
- 发起攻击前: “探路” (case the joint) – 找出网络上在运行什么服务
- 利用ping命令确定网络上主机的地址
- 端口扫描(Port-scanning): 依次尝试与每个端口建立TCP连接
- nmap (http://www.insecure.org/nmap/),广为使用的国外端口扫描工具之一
对策(Countermeasures)?
- 记录到达的网络流量
- 分析、识别出可疑活动( IP地址和端口被依次扫描)
3 分组“嗅探” (sniffing)
分组“嗅探” (sniffing):
- 广播介质(共享式以太网,无线网络)
- 混杂(promiscuous)模式网络接口可以接收/记录所有经过的分组/帧
- 可以读到所有未加密数据(e.g., 包括口令! )
- Wireshark就是一个典型免费的分组嗅探软件
分组嗅探对策:
- 组织中的所有主机都运行软件,周期性监测网络接口是否工作在混杂模式
- 每段广播介质连接一台主机(如交换式以太网)
4 IP欺骗(Spoofing)
IP欺骗(Spoofing):
- 直接由应用生成“原始” IP分组,可以设置分组的源IP地址字段为任意值
- 接收方无法判断源地址是否被欺骗
- e.g.: C冒充B
IP欺骗对策: 入口过滤(ingress filtering)
- 路由器不转发源IP地址无效的IP分组 (e.g., 源IP地址不属于所连接网络)
- 很有效!但是不能强制所有网络都执行入口过滤
5 拒绝服务DOS(Denial of service):
- 向接收方恶意泛洪(flood)分组,淹没(swamp)接收方
- 带宽耗尽
- 资源耗尽
分布式拒绝服务攻击 (DDOS): 多个源主机协同淹没接收方
e.g., C与另一个远程主机协同对A进行SYN攻击
DDoS攻击过程
- 选择目标
- 入侵(break into)网络中主机(构建僵尸网络)
- 控制僵尸主机向目标发送分组
反射式DDoS攻击
- 选择目标
- 入侵网络中主机(构建僵尸网络)
- 选择反射服务器Internet安全威胁
- 借助反射服务器向目标发起攻击
DOS: 对策
- 在到达主机前过滤掉泛洪分组(e.g., SYN)
- 可能好坏一起扔
- 追溯(traceback)攻击源
- SYN cookie[RFC 4987]